บรรจวบ เข้าสู่ระบบ
Score:3
BlackHat18 avatar Crypto

LWE กับเมทริกซ์ A ซ้ำ

ธง sy
BlackHat18

พิจารณา Learning With Errors รุ่นต่อไปนี้

คุณได้รับอย่างใดอย่างหนึ่ง $(A, As_1 + e_1, As_2 + e_2, \ldots, As_k + e_k)$ หรือ $(A, u_1, u_2, \ldots, u_k)$, ที่ไหน

  • $A$ เป็น $m \คูณ n$ เมทริกซ์ที่มีรายการมาจากฟิลด์ $\mathbb{Z}_q$ --- รายการจะถูกสุ่มตัวอย่างอย่างสม่ำเสมอ
  • $u_1, u_2, \ldots, u_k$ เป็น $m \คูณ 1$ซึ่งแต่ละรายการมาจากภาคสนาม $\mathbb{Z}_q$ สุ่มอย่างเท่าเทียมกัน
  • แต่ละ $e_1$, $e_2$, $\ldots$, $e_k$ เป็น $m \คูณ 1$ เวกเตอร์เสียงเกาเซียน
  • แต่ละ $s_1, s_2, \ldots, s_k$ เป็น $n \คูณ 1$ สตริงลับ

คุณได้รับคำสั่งให้แยกแยะระหว่างสองกรณีนี้

สมมติว่ามาตรฐาน LWE ยาก ปัญหานี้ยากด้วยหรือไม่

โดยทั่วไป เมทริกซ์ที่แตกต่างกัน $A$ มีการสุ่มตัวอย่างสำหรับแต่ละตัวอย่าง LWE ที่นี่เรามีเมทริกซ์เดียวกัน $A$ แต่ $k$ ความลับที่แตกต่างกันมันเปลี่ยนแปลงอะไรเกี่ยวกับการตั้งค่าหรือไม่?

67
0 + 0
Score:2
Daniel S avatar Crypto
ธง ru
Daniel S

คุณไม่ได้ระบุปัญหาทั้งหมด แต่ฉันจะถือว่ามันเป็นการแยกแยะชุดที่สร้างขึ้นจาก $\mathbf s_k$ ค่า

ใน สูตรปกติ ของ LWE เราได้รับ $m$ ตัวอย่างที่สอดคล้องกัน $n$เวกเตอร์ยาว สิ่งเหล่านี้สามารถรวมกันเป็น $m\ครั้ง n$ เมทริกซ์ $A$ เพื่อให้แยกแยะปัญหาการตัดสินใจของ LWE "มาตรฐาน" ได้ $(A,A\mathbf s_1+\mathbf e_1)$ จาก $(A,\mathbf u_1)$.

เมื่อพิจารณาถึงปัญหาดังกล่าวแล้ว ศัตรูอาจสร้างมันขึ้นมาเอง $\mathbf s_j$, $\mathbf e_j$ และ $\mathbf u_k$ สำหรับ $j=2,\ldots k$ และสร้างสองกรณีสมมติของปัญหาของคุณโดยการรวมสองปัจจัยเข้าเพื่อตัดสินใจ LWE กับปัจจัยการผลิตของตนเอง เช่น $\{(A,A\mathbf s_1+\mathbf e_1,A\mathbf s_2+\mathbf e_2,\ldots A\mathbf s_K+\mathbf e_k),(A,\mathbf u_1,\ldots,\mathbf u_k)\}$ และ $\{(A,A\mathbf s_1+\mathbf e_1,\mathbf u_2,\ldots,\mathbf u_k),(A,\mathbf u_1,A\mathbf s_2+\mathbf e_2,\ldots,A\mathbf s_K+\mathbf e_k)\}$. หากมีวิธีแก้ปัญหาของคุณ ควรใช้ในกรณีแรกเพื่อแยกแยะชุดด้วย $\mathbf s_1$ ในนั้นจึงเป็นการแก้ LWE เชิงตัดสินใจดั้งเดิม มีคำถามว่าตัวแก้ปัญหาทำงานอย่างไรหากได้รับอินพุตที่ไม่ถูกต้อง แต่อีกครั้งเราควรแยกแยะได้ด้วยข้อได้เปรียบ

0 + 0
Score:1
Mark avatar Crypto
ธง ng
Mark

ใช่ มันยังยากด้วยอาร์กิวเมนต์แบบไฮบริดง่ายๆ โดยพื้นฐานแล้วสำหรับ $i\in[k]$ กำหนด "การกระจายแบบผสม"

$$H_i = (A, A\vec s_1 + \vec e_1,\dots, A\vec s_i + \vec e_i, \vec u_{i+1},\dots, \vec u_k).$$

แล้วปัญหาการแยกแยะระหว่าง $H_i$ และ $H_{i+1}$ สามารถลดปัญหา LWE ได้ เมื่อใช้สิ่งนี้เพื่อวิเคราะห์สิ่งต่าง ๆ อย่างเป็นรูปธรรม สิ่งนี้ทำให้สามารถผูกมัดข้อได้เปรียบของการแยกแยะระหว่าง $H_0$ และ $H_k$ โดย $k$ เท่าของข้อได้เปรียบของตัวแยก LWE

อาร์กิวเมนต์นี้ (และเทคนิคการใช้ซ้ำโดยทั่วไป $เอ$) วันที่ย้อนกลับไปอย่างน้อย ฟังก์ชั่นประตูกลที่สูญเสียและการใช้งาน โดย Peikert และ Waters ในปี 2551 มันมีประโยชน์ที่เป็นไปได้เล็กน้อย ได้แก่ :

  1. โดยหลักการแล้วเราสามารถสร้างมาตรฐานของเมทริกซ์เดียวได้ $เอ$ ที่ผู้ใช้ทั้งหมดใช้ (คล้ายกับวิธีที่กลุ่ม DDH ได้รับมาตรฐาน) หรือแม้กระทั่ง
  2. หนึ่งสามารถ "ใช้ซ้ำ" เดียว $เอ$ ในระยะเวลาที่ค่อนข้างสั้นแต่ยังไม่จุกจิก เช่น 1 ชั่วโมง

โดยทั่วไปแล้วจะไม่ได้รับความสนใจมากนักอีกต่อไป นี่คือเหตุผลหลักสองประการ

  1. เราสามารถลดขนาดของ $เอ$ โดยการดึงดูด LWE เวอร์ชันที่มีโครงสร้าง (ในขณะที่ปรับปรุงประสิทธิภาพของการดำเนินงานที่เกี่ยวข้อง) และ
  2. ในทางปฏิบัติมักไม่ส่ง $A\in\mathbb{Z}_q^{n\times m}$ ในราคา $นาโนเมตร\log_2q$ บิต (ซึ่งมีขนาดใหญ่ นำไปสู่การค้นหาอาร์กิวเมนต์ค่าตัดจำหน่ายเช่นเดียวกับที่คุณเสนอ) คุณสามารถส่ง "seed" แทนได้ $\{0,1\}^\แลมบ์ดา$ซึ่งขยายเป็นเมทริกซ์แบบสุ่ม $เอ$ โดยใช้ฟังก์ชันขยายเอาต์พุตที่ปลายทาง ผู้สมัคร NIST PQC ส่วนใหญ่ใช้วิธีนี้

นอกจากนี้ยังควรกล่าวถึงด้วยว่าแนวคิดข้างต้นเกี่ยวกับ "อินสแตนซ์ LWE ที่ได้มาตรฐาน" มีเหตุผลเชิงปฏิบัติสองสามข้อที่ว่าทำไมมันอาจไม่ฉลาดในช่วงเวลาที่ยาวนาน กล่าวคือ

  1. มันเปิดโอกาสให้คุณโจมตีการประมวลผลล่วงหน้า (คล้ายกับมาตรฐานกลุ่ม DDH อื่น ๆ เช่นการโจมตี LogJam) และที่สำคัญกว่านั้น

  2. เราสามารถสร้าง "อินสแตนซ์ LWE ลับๆ" --- การกระจายของเมทริกซ์แบบสุ่มโดยประมาณ $เอ$ ที่แยกไม่ออกจากการคำนวณจากการสุ่ม แต่มี "ประตูกล" ที่ช่วยให้สามารถทำลาย LWE ได้

อินสแตนซ์ LWE แบบแบ็คดอร์นั้นค่อนข้างตรงไปตรงมา (ฉันจำไม่ได้ว่าควรระบุแหล่งที่มาของใคร) จำได้ว่าสมมติฐานของ NTRU สร้างคีย์เป็นคีย์สาธารณะ $h$และรหัสลับ $f$, ดังนั้น $hf = g$ เล็ก". ด้วยการใช้รูปแบบ "เมทริกซ์" ที่เหมาะสม เราจะได้เมทริกซ์ $H, F$ ดังนั้น:

  • $HF = G$ มีขนาดเล็กและ
  • $H$ แยกไม่ออกจากการคำนวณจากการสุ่มอย่างเท่าเทียมกัน

แล้วถ้าเราใช้ $H^t$ เป็นเมทริกซ์สุ่มของอินสแตนซ์ LWE เช่น รับตัวอย่าง $(H^t, H^t s + E)$เราสามารถทำลายสมมติฐาน LWE ได้อย่างง่ายดายโดยใช้เมทริกซ์สุ่มนี้ เช่น $F^t H^t s + F^t E = Gs + F^t E$ คือ "เล็ก" (ฉันเชื่อ) ทั้งหมดนี้เป็นเมทริกซ์ $H$ แยกไม่ออกจากการคำนวณจากการสุ่มภายใต้ NTRU เช่น ลับๆนี้ของ $H$ ตรวจจับได้ยาก

0 + 0
ธงชาติไทย
Kulap
คำถามนี้เป็นภาษาอื่นๆ:

โพสต์คำตอบ

คนส่วนใหญ่ไม่เข้าใจว่าการถามคำถามมากมายจะปลดล็อกการเรียนรู้และปรับปรุงความสัมพันธ์ระหว่างบุคคล ตัวอย่างเช่น ในการศึกษาของ Alison แม้ว่าผู้คนจะจำได้อย่างแม่นยำว่ามีคำถามกี่ข้อที่ถูกถามในการสนทนา แต่พวกเขาไม่เข้าใจความเชื่อมโยงระหว่างคำถามและความชอบ จากการศึกษาทั้ง 4 เรื่องที่ผู้เข้าร่วมมีส่วนร่วมในการสนทนาด้วยตนเองหรืออ่านบันทึกการสนทนาของผู้อื่น ผู้คนมักไม่ตระหนักว่าการถามคำถามจะมีอิทธิพลหรือมีอิทธิพลต่อระดับมิตรภาพระหว่างผู้สนทนา